ZyXEL GS1910 und 802.1X

Bereits in der c’t 17/2013 kam der ZyXEL Switch GS1910-24 gut weg. Mir persönlich gefiel neben dem günstigen Preis und der Ausstattung die geringe Leistungsaufnahme. Da bei uns ohnehin eine Erweiterung bzw. ein Austausch anstand und zudem Holger anfragte, das er Probleme mit diesem Switch in Verbindung mit 802.1X hat, folgte kurzerhand die Bestellung und ein Test.

Die (Test-)Umgebung

Um dem Problem von Holger nachzugehen, wurde die Umgebung von ihm in unserer Test-Umgebung nachgestellt. Dabei handelt es sich um ein Netzwerk auf der Basis von Microsoft Windows Server 2008 R2 Standard. Für die Test-Umgebung wurde ein Domänencontroller und ein Mitgliedsserver, der den RADIUS-Server darstellt, installiert.

Während der Fehlersuche bei Holger kam unter anderem der Verdacht auf, das möglicherweise die Zertifikatvorlage auf dem Mitgliedsserver nicht funktioniert. Hintergrund dieser Vermutung ist ein Hinweis im Abschnitt „802.1X Zertifikate“ unter

http://www.msxfaq.de/verschiedenes/8021x.htm

In meinem Test konnte ich das allerdings nicht nachvollziehen. Mit anderen Worten: Es funktioniert(e).

802.1X funktioniert (vorerst) nicht

Als Grundlage für die Konfiguration von 802.1X diente dieser Beitrag, allerdings stellte sich schnell heraus, das irgendetwas faul ist. Zur Sicherheit wurde 802.1X im WLAN mit Hilfe eines Intellinet Wireless 300N 4-Port Routers (alternativ kann man auch den Intellinet Wireless 300N Access Point, diesen gibt’s auch mit PoE) getestet, dort funktioniert wiederum alles wie es soll.

Im Gegensatz zu dem damaligen Problem in Zusammenhang mit Netgear kam man allerdings etwas weiter. Wie man beim Mitschnitt im Network Monitor sehen kann kontaktiert der Switch den NPS, aber nach einem „Client Hello“ kommt nichts mehr und das Ganze endet in einem Timeout. Im Ereignisprotokoll ist die Anforderung zu sehen, wird aber mit ID 6274 „interner Fehler“ verworfen.

Was sagt der Support dazu?

Der ZyXEL-Support war überraschend schnell und relativ informativ. Schon kurz nach der Kontaktaufnahme am 25.10.2013 kam als Feedback, das man das Anliegen an die Entwicklung gemeldet hat. Am 28.10.2013 wurde man darüber informiert, das man das Problem nachstellen konnte und nach einer Lösung sucht. Wiederum am 04.11.2013 kam die Nachricht, das man das Problem mit der nächsten Firmware-Version (geplant für Anfang/Mitte Dezember 2013) beheben wird. Also erstmal ein paar Tage warten, bis man die neue Firmware hat und dann geht’s (an dieser Stelle) weiter.

To be continued…

2 Kommentare

  • Auch ein Gescheiterter

    Ich habe im Frühjahr versucht, eine zertifikatbasierte 802.1x-Authentifizierung von XP-Clients über einen Zyxel GS1910-24 gegen einen Freeradius-Server zum Fliegen zu bringen. Mit viel Zeitaufwand und ohne Erfolg. Als ich danach die neueste Firmware des Switches aufspielen wollte (Version V1.00(AAAX.3) | 3/14 /2013) und brav die Release-Notes gelesen habe, traf mich etwas der Schlag, denn dort heisst es explizit:

    3. [802.1x] In 802.1x, it only support MD5 now but TLS will be supported at future release.

    Zu behaupten, der Switch könne gar kein 802.1x ist sicher etwas übertrieben. Kann er wohl, halt nur nicht auf Basis von Zertifikaten. Mich wundert eher, dass der Zyxel-Support dieses „Problem nachstellen“ muss, obwohl es sich augenscheinlich um ein (fehlendes) Feature handelt. Die eigenen Release-Notes sollte man doch kennen, oder?!

    Es heisst also, weiter zu warten …..

  • Weiß jemand, wie es inzwischen damit aussieht? 5 Jahre später habe ich nun den GS1900-HP gekauft und keine Chance, meinen Mac über EAP-TLS mit dem freeradius RADIUS Server anzufreunden. Es wird wohl das Zertifikat irgendwie weitergeleitet, ich erhalte aber immer einen I/O Error und Abbruch. Über WLAN funktioniert mit dem gleichen Zertifikat alles bestens…

    Any ideas?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.